Development of a global internet scanning infrastructure for industrial protocols

Master-Studiengang Information Security

Dipl.-Ing. Martin G. Schlatzer, BSc
18.09.2015

Ausgangslage

Die stetig wachsende Zahl von Geräten, die mit dem Internet verbunden sind, sowie die Entdeckung neuer Schwachstellen in denselben stellen Industrie und Forschung vor ein großes Problem. Aktuelle Bemühungen zielen meist auf die Vermeidung oder zumindest schnelle Beseitigung von Schwachstellen ab. Auch eingeschränkt vernetzte Systeme sind oftmals anfällig oder sind ungewollt mit dem Internet verbunden. Die Rede ist von industriellen Kontrollsystemen (ICS), welche oftmals Komponenten von kritischer Infrastruktur wie Energie, medizinischer Versorgung oder Finanzwesen sind. In der Vergangenheit wurden solche Geräte bereits aktiv angegriffen. In Zukunft könnten derartige Vorfälle katastrophale Auswirkungen haben.

Ziel

Diese Arbeit beschäftigt sich mit dem Aufbau einer Scanning-Infrastruktur, welche es ermöglicht, eine aktuelle Übersicht der mit dem Internet verbundenen ICS zu erhalten. Um schnell und effektiv auf Schachstellen reagieren zu können, muss dieser Scan in einem angemessenen kurzen Zeitintervall durchführbar sein und genaue Informationen über die Systeme enthalten. Dabei soll sichergestellt werden, dass die untersuchten Geräte durch die Scans nicht beeinträchtigt oder gar beschädigt werden. Weiters sollen Schlüsse aus den Ergebnissen der Scans gezogen werden, um den aktuellen Zustand des Internets wiederzugeben.

Ergebnis

Mit der vorgeschlagenen Scanning-Infrastruktur wurde das “Europäische Internet“ erfolgreich durchleuchtet und die Ergebnisse stellen klar dar, dass noch immer sehr viele ICS Geräte mit dem Internet verbunden sind. Neben gezogenen Schlussfolgerungen und der Beschreibung von Architektur, Komponenten und Scanning-Verfahren wurden auch Gegenmaßnahmen und Rechtsfragen diskutiert.

Ausblick

Die rechtliche Situation für Internet-Scanning ist nicht klar definiert und könnte zu Klagen führen. Daher ist hier noch Potential für zukünftige Studien vorhanden.  Durch diese Arbeit soll zusätzlich eine Diskussion angestoßen werden, wie Systeme der kritischen Infrastruktur permanent aus dem Internet verbannt werden könnten, ohne deren Funktionalität zu beeinträchtigen. Durch die Weitergabe der gefundenen IPs an nationale Computer Emergengy Response Teams (CERTs) und das Durchführen von weiteren Internet-Scans wird auf eine baldige Verbesserung der Situation gehofft.

 

FH-Betreuer: Dipl.-Ing. (FH) Thomas Brandstetter, MBA